Inicio / Alerta Temprana / Avisos Seguridad / Denegación de servicio en ISC BIND

Denegación de servicio en ISC BIND

Fecha de publicación: 
19/02/2015
Importancia: 
3 - Media
Recursos afectados: 

Servidores BIND que realicen validación DNSSEC y que gestionen claves de confianza, y que se correspondan con las siguientes versiones:.

  • Versiones 9.7.0 a 9.10.1-P1.
  • Versiones de desarrollo 9.9.7b1 y rc1, 9.10.2b1 y rc1.
Descripción: 

Una vulnerabilidad relacionada con la gestión de la cadena de confianza (Trust Anchor) en la validación DNSSEC puede provocar una denegación de servicio a causa de la caída del proceso named

Solución: 

Aplicar el parche generado por el fabricante según corresponda a la versión afectada. Las actualizaciones son:

  • BIND 9.9.6-P2
  • BIND 9.10.1-P2
  • BIND 9.9.7rc2
  • BIND 9.10.2rc2

Los parches pueden obtenerse en el siguiente enlace: http://www.isc.org/downloads

Detalle: 

Los servidores BIND implementados con DNSSEC y que gestionan claves de de confianza (cuando se utilizan las cláusulas "dnssec-validation auto;" o "dnssec-lookaside auto;") pueden fallar y detener su ejecución bajo alguna de las siguentes circunstancias:

  • Una clave de confianza se marca como revocada
  • No existen otras claves verificadas de confianza
  • Existe una clave pero aún no ha sido verificada

Bajo esas circunstancias, en la renovación de claves de confianza de forma incorrecta o manipulada, puede provocar denegación del servicio a causa de la caída del proceso named.